DPS - Documento Programmatico sulla Sicurezza Liceo scientifico Statale Cassini

Транскрипт

1 DPS - Documento Programmatico sulla Sicurezza Liceo scientifico Statale Cassini (Codice in materia di protezione dei dati personali D.lgs 196/2003) 1

2 INDICE PARTE 1ª - L ISTITUZIONE SCOLASTICA... 3 PARTE 2ª - LA METODOLOGIA E LE INFORMAZIONI GENERALI SUI DATI... 4 Il DPS e l approccio adottato...4 Come è stata effettuata la rilevazione...4 Informazioni generali sui dati trattati...4 Dati sensibili e giudiziari...5 PARTE 3ª - IL QUADRO DELLA SITUAZIONE... 6 L analisi dei trattamenti...6 Quadro di sintesi...6 Attività e banche dati...7 I trattamenti: chi li effettua e con quali strumenti...7 Trattamenti affidati all esterno...8 PARTE 4ª - RISCHI STIMATI - MISURE DI SICUREZZA... 9 Valutazione dei rischi...9 Misure di sicurezza Verifica periodica PARTE 5ª - GLI ALLEGATI

3 PARTE 1ª - L Istituzione Scolastica Il liceo scientifico Cassini è sito nel Comune di Genova, in via Galata 34 - C.A.P L Istituto ha due plessi e una succursale. L indirizzo utilizzato per le comunicazioni istituzionali è: [email protected] La struttura della scuola può essere così rappresentata: Dirigente scolastico pro tempore: Massimo Angelini Vicario pro tempore: Giacomo Costa D.S.G.A, nonché Responsabile del trattamento dei dati personali: Maria Ada Canobbio Responsabile delle tecnologie informatiche: Nicola Cria. La scuola è frequentata da studenti. Il personale è composto da 102 docenti e 25 unità ATA. All interno della scuola opera l Impresa di Pulizia La Fidente con n. 2 unità di personale. Il liceo Cassini, fondato nel 1923, è una delle scuole storiche di Genova e si caratterizza per l ampio numero di iniziative didattiche e formative avviate. L Istituto ha sostanzialmente completato il percorso volto a: organizzare i trattamenti di dati in formato cartaceo, con particolare riguardo all attività di Segreteria, in modo da garantire un idonea custodia e conservazione dei documenti e di riservare l accesso alle aree in cui si effettuano i trattamenti ai soli soggetti incaricati; porre in essere le misure di sicurezza adeguate per la protezione dei dati trattati in formato elettronico. 3

4 PARTE 2ª - La metodologia e le informazioni generali sui dati Il DPS e l approccio adottato Il presente DPS è stato redatto a seguito di una rilevazione sistematica dei dati personali trattati attraverso strumenti elettronici dalla scrivente Istituzione scolastica e di un analisi dell infrastruttura tecnologica esistente, con particolare riferimento alle caratteristiche della rete, dei Personal Computer, dei sistemi di sicurezza in uso. E seguita un analisi dei rischi ed una valutazione in ordine alla possibilità che possano verificarsi episodi di utilizzo improprio dei dati, di loro perdita o distruzione e di accesso non autorizzato. Sono state, di conseguenza, individuate misure ulteriori, rispetto a quelle già in essere, per ridurre i rischi rilevati. Come è stata effettuata la rilevazione La compilazione partecipata, da parte del Dirigente scolastico, del DSGA e del Responsabile interno dell informatica, ha consentito una valutazione complessiva più generale dello stato dell organizzazione e dei fabbisogni dell Istituzione scolastica e, con essa, l individuazione di soluzioni migliorative delle sue prestazioni. Informazioni generali sui dati trattati La scuola, nell ambito delle finalità istituzionali perseguite, può trattare, anche mediante strumenti elettronici, i dati individuati dall articolo 4 lettere b), c) d) e) del Decreto Legislativo 30 Giugno 2003, n 196. I trattamenti avvengono nel rispetto degli obblighi derivanti dalla legislazione nazionale e comunitaria, nonché da fonti di natura regolamentare. Tra le disposizioni sopra menzionate, si evidenzia il particolare rilievo dei trattamenti previsti dalla seguente normativa: R.D. n. 653/1925, D.Lgs. n. 297/1994, D.P.R. n. 275/1999; Legge 19/03/1990 n 50, Decreto Interministeriale 1 febbraio 2001, n. 44 e le norme in materia di contabilità generale dello Stato; Legge n. 104/1992, Legge n. 53/2003, D.Lgs. n. 165/2001; D.Lgs. n. 151/2001, l art. 112 del Dlgs 193/2004, i Contratti Collettivi di Lavoro Nazionali ed Integrativi stipulati ai sensi delle norme vigenti; D.M. 7 dicembre 2006, n. 305 Regolamento recante identificazione dei dati sensibili e giudiziari trattati ; tutta la normativa collegata alle citate disposizioni. I trattamenti sono legati all erogazione dei servizi formativi ed educativi dell Istituzione scolastica, ai connessi rapporti con gli alunni e le famiglie, agli adempimenti relativi alla gestione e alla formazione del personale, agli adempimenti di contabilità e bilancio. 4

5 In linea generale, i dati trattati riguardano: persone fisiche, identificate o identificabili, quali nominativo, data di nascita, residenza, domicilio, stato di famiglia, codice fiscale, obblighi di leva; persone giuridiche quali la forma giuridica, la sede legale, la data di costituzione, informazioni relative agli organi rappresentativi e legali, partita Iva, codice fiscale, la titolarità di diritti o la disponibilità di beni strumentali; presenze, prestazioni previdenziali, stipendi, permessi, ferie, malattia, stato di servizio e altri dati connessi al rapporti di lavoro del personale della scuola; procedimenti di natura penale, civile, tributaria e amministrativa; rapporti del Dirigente scolastico e dei docenti con le famiglie; attività degli organi collegiali dell Istituzione scolastica; atti negoziali od offerte commerciali provenienti da fornitori di beni e servizi, ivi comprese eventuali attività professionali svolte a fini formativi; rapporti e convenzioni con aziende e agenzie formative, per stage e tirocini degli alunni; altri soggetti, situazioni, eventi in applicazione di disposizioni di Legge o Regolamenti. Dati sensibili e giudiziari Quanto ai trattamenti di dati sensibili e giudiziari in formato elettronico, va rilevato che è stata effettuata una ricognizione completa. Va fin da subito evidenziato che non vengono effettuati trattamenti di dati giudiziari attraverso strumenti elettronici. Anche il trattamento di dati sensibili attraverso strumenti elettronici è limitato pochissimi casi, riguardanti in particolare l eventuale apposizione di sigle nelle schede relative al personale, nei casi richiesti dai programmi ministeriali utilizzati (Sissi); questi programmi richiedono l utilizzo di determinate sigle nel caso delle assenze o dei permessi del personale. Stesso discorso, assai limitato, può farsi in relazione alle sigle che sono utilizzate nel programma ministeriale Sissi usato per la gestione delle anagrafiche degli studenti. Saltuariamente, può accadere che vengano conservati dei documenti contenenti dati sensibili (ad, es. lettere) nella cartella documenti riservati del Dirigente scolastico. I file in questione sono conservati separatamente dagli altri e non recano nomi che possano ricondurre in alcun modo allo stato di salute delle persone coinvolte. 5

6 PARTE 3ª - Il quadro della situazione L analisi dei trattamenti I trattamenti di dati (in formato elettronico) operati dall Istituzione scolastica sono stati analizzati attraverso le seguenti modalità operative: 1. sono state rilevate le attività in essere che comportano il trattamento elettronico di dati personali; 2. sono state individuate le strutture e/o le figure professionali incaricate dei trattamenti; 3. sono stati rilevati e descritti gli strumenti informatici utilizzati per il trattamento dei dati. Quadro di sintesi La scuola è dotata di 79 personal computer, di cui 62 collegati in due reti separate (segreteria e didattica). I trattamenti di dati personali in formato elettronico vengono effettuati attraverso i PC della rete di segreteria e alcuni PC della rete didattica, a cui possono accedere con codici di accesso riservati solo alcuni docenti abilitati. La rete interna è stata installata nell anno 2001 e fino ad oggi ha dato una buona prova di funzionamento. La scuola dispone di un sistema di protezione della rete contro le intrusioni (firewall), periodicamente aggiornato e gestito dal Resp. interno dell informatica. Dispone, inoltre, di un proprio sistema, con proprio nome di dominio, di posta elettronica. L Istituzione scolastica è datata di un proprio sito web il cui indirizzo è: e Il sito non è utilizzato per il trattamento di dati personali. I trattamenti di dati personali in formato elettronico vengono prevalentemente effettuati attraverso un applicativo di tipo Sissi. 6

7 Attività e banche dati I trattamenti effettuati si concentrano sulle seguenti banche dati. Area Attività Banca dati Direzione Direzione e gestione Cartella documenti riservati del DS Amministrazione Contabilità e bilancio Fornitori Amministrazione Contabilità e bilancio Gestione fiscale Amministrazione Gestione magazzino Magazzino Amministrazione Gestione personale Retribuzioni Amministrazione/personale Gestione personale Personale (permessi, congedi, malattie) Amministrazione/didattica Gestione alunni Studenti Didattica (trattamenti effettuati dai docenti) Gestione alunni Amministrazione Gestione Protocollo Protocollo Valutazione studenti Le banche dati sopra evidenziate sono quasi tutte gestite con lo stesso applicativo di tipo Sissi. Tutte le banche dati così gestite risiedono sul PC server n 1453, le cui caratteristiche sono descritte nel paragrafo successivo. La gestione di segreteria dei dati relativi agli studenti avviene anche attraverso un BD, gestito con un applicativo di tipo ARGO, che risiede sul PC server n La banca dati denominata Cartella documenti riservati del DS, è gestita direttamente dal Dirigente scolastico e risiede sul PC n I dati sensibili, indicati nella seconda parte del presente documento, vengono trattati esclusivamente nell ambito delle banche dati Studenti, Personale e Cartella personale del DS. I trattamenti: chi li effettua e con quali strumenti I trattamenti di dati personali in formato elettronico, oltre che dal Dirigente scolastico, sono effettuati prevalentemente dal personale di segreteria (Assistenti amministrativi), sotto la responsabilità del Direttore dei Servizi Generali Amministrativi (DSGA). A questi, vanno aggiunti alcuni docenti incaricati dei trattamenti relativi alla valutazione degli alunni. Questi ultimi trattamenti, in linea tendenziale, non comportano il trattamento di dati sensibili. 7

8 Resta ovviamente ferma la possibilità per il Dirigente scolastico, in qualità di rappresentante legale dell Istituzione scolastica, di accedere a tutti trattamenti e verificare il rispetto delle istruzioni impartite. Il personale di segreteria effettua le seguenti operazioni di trattamento: registrazione, inserimento, archiviazione, consultazione e cancellazione dati. Le operazioni di comunicazione e diffusione dei dati sono effettuate solo su specifica autorizzazione del Dirigente scolastico o del DSGA. Negli uffici di segreteria i dati personali sono trattati attraverso dei personal computer collegati in rete tra loro e collegati ad internet: i suddetti PC utilizzano il sistema operativo Windows XP Professional. Il Personal Computer utilizzato come server per le attività amministrative è il n Questo PC utilizza l applicazione Windows STD 2003 R2. E ubicato in un Aula chiusa a chiave al 1 piano sopra l Aula Magna. Il Personal Computer utilizzato come server per le attività didattiche è il n Anche questo PC utilizza l applicazione Windows STD Questo PC è ubicato ubicato in un Aula chiusa a chiave al 1 piano sopra l Aula Magna. L accesso ai server è riservato al responsabile interno dell informatica, Sig. Nicola Cria, appositamente incaricato. L accesso ai dati dei server è protetto con chiavi di accesso personalizzate composte da due elementi (username e password). E installato anche uno screen saver con richiesta automatica di password. I computer si spengono automaticamente in caso di inattività. L antivirus installato è il Symantec corporate versione , aggiornato con cadenza settimanale. Come più sopra evidenziato, i trattamenti con strumenti elettronici dell area Amministrazione vengono effettuati solo dal personale degli Uffici di Segreteria, la cui struttura viene di seguito sintetizzata. Il coordinamento delle attività di segreteria è affidato al Direttore S.G.A : Maria Ada Canobbio. Resp.informatica: Nicola Cria. Assistenti Amministrativi: Sig.ra Maria Clelia D Amato; Sig.ra Maura Di Antonio; Sig. Claudio Ezzi; Sig.ra Rosanna Guelfo; Sig.ra Anna Sandra Porcile; Sig.ra Eliana Raineri Sig.ra Rita Rossi; Sig.ra Paola Spandei; Sig.ra Denise Valle. Per quanto attiene ai trattamenti effettuati nell ambito dell attività didattica, di competenza dei docenti, coloro che effettuano i trattamenti sono: Giacomo Costa; Giuliana Piacentini; Enrico Tacchella. Il personale docente effettua le seguenti operazioni di trattamento: registrazione, inserimento, archiviazione, consultazione e cancellazione dati. Le operazioni di comunicazione e diffusione dei dati sono effettuate solo su specifica autorizzazione del Dirigente scolastico o del DSGA. Trattamenti affidati all esterno Per le operazioni di manutenzione hw e sw, la gestione della sicurezza e il ripristino dei dati, vengono affidati incarichi alle ditte C.P.U. Sistemi di Genova e B.C. Dida s.r.l. di Genova. 8

9 Le ditte in questione sono nominate responsabili del trattamento dei dati personali in relazione alle funzioni loro affidate e, in particolare, in relazione all obbligo di: gestione della sicurezza della rete, comprese le apparecchiature di protezione (firewall, filtri per la posta elettronica, antivirus, ecc); monitoraggio dello stato dei sistemi, con particolare attenzione alla sicurezza informatica; effettuazione degli interventi di manutenzione hardware e software su sistemi operativi e applicativi. I Responsabili hanno dichiarato, con atto scritto, di essere a conoscenza e di rispettare quanto stabilito dal D.lgs n. 196 del 30/06/2003 ed in particolare: di conoscere e impegnarsi a rispettare, sotto la propria responsabilità e nell ambito delle materie oggetto del presente incarico, quanto indicato nell'allegato B del Disciplinare tecnico in materia di misure minime di sicurezza ; di attenersi agli obblighi di assoluta riservatezza connessi all incarico; di rispettare il divieto assoluto di comunicare e diffondere a terzi non autorizzati le informazioni e i dati personali di cui sia venuto a conoscenza; di essere consapevoli che i dati trattati nell espletamento dell incarico ricevuto, sono dati personali e, come tali, sono soggetti all applicazione del Codice per la protezione dei dati personali; di adottare le istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o di integrarle nelle procedure già in essere; di riconoscere il diritto del committente a verificare periodicamente l applicazione delle norme di sicurezza adottate. Parte 4ª - Rischi stimati - misure di sicurezza Valutazione dei rischi La scuola ha valutato il complesso dei rischi relativi alla gestione dei dati, in funzione di fattori diversi, quali il comportamento degli operatori, il contesto fisico-ambientale, le strumentazioni in dotazione, la probabilità che un certo numero di eventi dannosi per la sicurezza dei dati possa verificarsi e l entità del danno eventuale che ne può derivare per l integrità e la riservatezza dei dati. Il quadro che emerge dell analisi fatta è sostanzialmente rassicurante. L analisi legata al comportamento degli operatori, non ha evidenziato particolari criticità. E evidente come un lavoratore poco diligente o, addirittura, operante con volontà dolosa o fraudolenta, possa potenzialmente arrecare gravi danni all Istituzione scolastica. Ma va altresì rilevato il buon livello d affidabilità del personale operante in questa scuola. Non vi sono mai stati problemi per la gestione delle password personali di accesso ai computer, né comportamenti sleali o fraudolenti, né 9

10 comportamenti caratterizzati da particolare incuria. E dunque bassa la probabilità che questi eventi si verifichino. Si ravvisa, come elemento di criticità, quello legato alla necessità di risorse e iniziative di formare del personale, che andrebbero implementate. E stata effettuata anche l analisi dei rischi legati al contesto socio-ambientale. La situazione della scuola non desta alcuna preoccupazione. In orario di lavoro, l accesso ai locali in cui si effettuano i trattamenti è continuamente vigilato. Alla chiusura delle attività questi locali vengono chiusi. L accesso fuori orario ai locali dove vengono custoditi e trattati i dati è consentito solo su espressa autorizzazione del Dirigente scolastico. Si evidenzia che la scuola ha anche installato un sistema di allarme anti-intrusione. Quanto ad altri fattori di rischio, va evidenziato come non si registrino quei continui spostamenti d uffici e macchinari, che spesso causano problemi dal punto di vista della sicurezza e della perdita dei dati. Anche i fattori ambientali non sembrano destare preoccupazione. Non si ravvisano casi di incendi, inondazioni, terremoti, né presenza di radiazioni elettromagnetiche, umidità o temperatore eccessive. Un quadro sostanzialmente soddisfacente emerge dall analisi dei rischi legati agli strumenti utilizzati. Come è noto, è potenzialmente devastante l azione dei virus e degli altri strumenti di sabotaggio informatico. L esperienza della nostra scuola è stata fino ad oggi positiva. I virus informatici sono stati fronteggiati attraverso adeguati programmi antivirus. Né si sono mai registrati tentativi di accesso dall esterno, alla nostra rete, da parte di soggetti non autorizzati. Gli applicativi utilizzati dalla scuola (antivirus, firewall) si sono, fino ad oggi, dimostrati affidabili, anche perché periodicamente aggiornati. Misure di sicurezza Una parte delle misure adottate dalla scuola sono già state indicate nelle precedenti sezioni del presente documento. Di seguito, alcune ulteriori indicazioni. Per la protezione dai virus informatici è utilizzato un antivirus di rete di marca Symantec corporate versione , aggiornato con cadenza settimanale. Backup dei dati gestiti con Sissi. La scuola ha adottato un sistema di backup manuale su un hard disk portatile USB effettuato dalla Sig.ra Paola Sandei. Il backup avviene con frequenza settimanale. In caso di danneggiamento, il ripristino dei dati è garantito entro 7 giorni. Le copie di backup vengono conservate in una cassaforte. Sono effettuate periodicamente prove di ripristino utilizzando la relativa funzione di restore. Il responsabile della procedura di backup è il Responsabile delle tecnologie informatiche. Backup dei dati gestiti con Argo. La scuola ha adottato un sistema di backup automatico e backup manuale. Quest ultimo è il backup di Argo guidato sul PC n.1274 per quanto riguarda i dati degli alunni ed effettuato dal personale addetto alla didattica (Sig.ra Porcile Anna Sandra e Sig.ra Paola Sandei) e sul PC n per quanto riguarda il protocollo ed effettuato dalla Sig.ra Denise Valle. 10

11 Il back-up automatico viene effettuato sul server n Il backup avviene con frequenza settimanale. In caso di danneggiamento, il ripristino dei dati è garantito entro 7 giorni. Le copie di backup vengono conservate in una cassaforte. Sono effettuate periodicamente prove di ripristino utilizzando la relativa funzione di restore. Il responsabile della procedura di backup è il Responsabile delle tecnologie informatiche. Analoghe procedure sono adottate per le restanti banche dati indicate nella relativa sezione ( Attività e banche dati ) del presente documento. Altre misure di sicurezza. Il sistema di attribuzione e gestione dei codici di accesso, viene gestito dall amministratore di sistema che svolge anche funzione di custode delle password. Vengono utilizzate chiavi di accesso personalizzate composte di due elementi, abilitate solo a determinati trattamenti, predisposte e aggiornate nei modi e nei tempi indicati dall allegato B del Dlgs 196/2003 (aggiornamento semestrale o trimestrale, chiavi che non consentono di risalire ai nomi dei possessori, conosciute solo dagli incaricati, istruzioni impartite ai medesimi). Sono utilizzate password su BIOS. La scuola ha anche adottato altre misure di sicurezza applicate ai computer su cui si effettuano i trattamenti. In particolare, il PC si blocca automaticamente in caso di inattività e richiede nuovamente la digitazione di una password per accedere al computer; i controlli periodici sul rispetto delle istruzioni impartite agli incaricati e la revisione periodica degli incarichi vengono effettuati a campione; In orario di lavoro, l accesso ai locali in cui si effettuano i trattamenti è continuamente vigilato. Alla chiusura delle attività questi locali vengono chiusi. L accesso fuori orario ai locali dove vengono custoditi e trattati i dati è consentito solo su espressa autorizzazione del Dirigente scolastico. Si evidenzia che la scuola ha anche installato un sistema di allarme anti-intrusione. La scuola rispetta i canoni di sicurezza previsti dalla legge 626/94. Formazione degli incaricati. In virtù del punto 19 del disciplinare tecnico allegato b) al D.lgs 196/03, la scuola ha già programmato percorsi di formazione in merito a: introduzione alla disciplina sulla protezione dei dati personali e alle responsabilità che ne derivano; i rischi dai quali occorre proteggere i dati personali; le misure disponibili per prevenire eventi dannosi. Sono state effettuate 4 ore di formazione per il DSGA e per il personale ATA incaricato al trattamento dei dati personali. Al personale (docenti e ATA) è stata consegnata la Guida per la formazione degli incaricati del trattamenti dei dati personali nelle istituzioni scolastiche Va rilevato come la scuola abbia, anche in chiave di sicurezza, organizzato dei corsi di aggiornamento per gli utenti di strumenti informatici. 11

12 Il Dirigente ha nominato Responsabile del trattamento dei dati personali il DSGA, Sig.ra Maria Ada Canobbio. In merito all uso di supporti rimovibili per il trattamento dei dati personali, si evidenzia come questo non sia previsto dalle misure organizzative adottate da questa Istituzione scolastica, eccezion fatta per i supporti usati nella procedura di backup dei dati. Verifica periodica La scuola si impegna a verificare ed aggiornare periodicamente le modalità adottate per garantire la sicurezza dei dati personali trattati. Il DPS verrà aggiornato entro il 31 Marzo di ogni anno. Il titolare si impegna a riferire, nella relazione accompagnatoria del bilancio di esercizio, dell avvenuta redazione o aggiornamento del presente documento. 12

13 PARTE 5ª - Gli allegati Al presente DPS è allegata la documentazione che completa il dossier relativo alla garanzia della sicurezza dei dati trattati nella scuola. Gli allegati sono: I modelli e le lettere di incarico ad effettuare i trattamenti (Docenti, Personale Amministrativo e Collaboratori Scolastici); la nomina a responsabile del trattamento; la nomina dell amministratore di sistema e custode delle password; la nomina dell amministratore e gestore della posta elettronica; le informative per il trattamento dei dati personali degli alunni e delle famiglie, del personale dipendente e dei fornitori; l organigramma d istituto; schede dalla n. 1 alla n. 6 di cui al D.M. 7 dicembre 2006, n. 305 Regolamento recante identificazione dei dati sensibili e giudiziari trattati. Genova, 31 marzo 2007 IL DIRIGENTE SCOLASTICO Dott. Prof. Massimo ANGELINI 13